將ERP系統遷移至雲端的安全預期和挑戰

企業資源規劃（ERP）軟件是許多組織的關鍵業務應用程序，根據雲安全聯盟（CSA）的一項研究顯示，當企業將ERP從內部部署遷移至雲端時，需要考慮一些關鍵的安全問題。

事實上，現代ERP系統是從以前的ERP系統擴展而來，其功能包括但已不再僅限於資源規劃。在過去，ERP系統被看作是一個單一的系統，它可以輔助專門化的業務操作，而現代ERP系統是一個獨立的或集成的組件集合，用以幫助管理企業特定方面的業務。從本質上看，ERP是一個模塊化的軟件系統，它將金融、人力資源和客戶關係管理等核心業務功能的數據結合起來，幫助組織更有效地運作。

目前ERP有三種主要的部署模式: 傳統的本地部署，雲端署模式以及二者兼有的混合模式。

雲端ERP部署

傳統上，組織一直在內部部署ERP系統，但近年來這種情況一直在發生變化。在一定程度上，SAP和Oracle確實在幫助和推動組織將ERP系統遷移至雲端。除此之外，合作夥伴生態系統也正在提供真正的規模來幫助組織採用雲。

雲雖然不是一個統一的概念，但它具有組織用於ERP的不同類型的部署模型。其中一種主要模式就是雲基礎架構即服務（IaaS），通過這種模式，組織可以在AWS、Azure、GCP以及任何其他托管環境中部署Oracle、SAP或其他ERP產品。

雲軟件即服務（SaaS）模型是另一種流行的ERP部署方法。通過SaaS模型，組織可以根據多種使用條件（如用戶數量、具體功能與事項、數據量或其他度量單位）對其雲應用程序進行訂閱。這種模型的代表包括NetSuite、Oracle Cloud ERP、SuccessFactors、Ariba以及SAP S / 4HANA公共雲。

用於ERP部署的另一種雲服務模型是平台即服務（PaaS）方法。PaaS雲服務模型主要用於擴展SaaS應用程序，它是為SaaS應用程序開發自定義功能的唯一方法。

ERP系統遷移至雲端的安全預期

如今，數字化轉型的加速發展正在進一步推動市場對企業資源規劃（ERP）系統的需求，以便組織能夠以協調的方式管理其整體業務。與此同時，全球化的趨勢也正在迫使組織考慮雲解決方案，以防止跨國業務出現脫節經營現象——即便是一些小型企業也被雲經營的經濟效益和潛在安全效益等優勢所吸引，而紛紛轉向雲解決方案。

歸根結底，將ERP系統轉移至雲端的主要推動因素包括價值做到周期更短、創新速度更快以及不斷增長的可擴展性等等。

這種種因素都在推動組織將現有的內部部署ERP解決方案遷移至雲端，甚至一些組織還考慮將其首個ERP系統直接接入雲端。不過，雲遷移從來都不是一件簡單的事，尤其是當涉及的數據對業務經營至關重要的時候。

為了更好地了解ERP在雲端的實際問題並安全將其遷移至雲端，雲安全聯盟（CSA，由Onapsis讚助）針對來自美洲（49%），亞太地區（26%）以及歐洲、中東和非洲（合稱EMEA，25%）的199名經理、C級高管以及員工進行了一項調查。

對於這項調查的初衷，雲安全聯盟負責人表示：

「

雲遷移從來都不是一件簡單的事情，會引發很多安全和隱私問題，我們希望能夠通過調查提供一些關於雲遷移和安全問題的有效見解。

1月11日，CSA發布了這份名為《企業資源規劃（ERP）應用程序和雲採用》的安全報告。該研究發現，69%的組織正在將包括SAP和Oracle在內的流行ERP平台的數據遷移到雲端。此外，值得注意的是，美洲和亞太地區（均為73%）比EMEA（歐洲、中東和非洲）地區更有可能遷移到雲解決方案。因為歐洲、中東和非洲的法規，如歐盟通用數據保護條例（GDPR）限制了技術採購、雲服務以及第三方政策等組織計劃。

ERP安全挑戰和誤解

雖然目前，許多組織正在將ERP遷移到雲端，但該研究還發現了一些關於安全性的誤解。該報告指出，鑒於ERP應用程序的複雜性，我們發現許多組織仍然將其ERP安全策略集中在基礎安全性上，如IAM（身份和訪問管理）、GRC（治理風險和合規性）以及SoD（職責分離）。

研究發現，在用於幫助保護雲端ERP部署的安全控制措施中，68%的受訪組織使用了IAM控制。其他所用的工具還包括防火牆（63%）、漏洞評估（62%）。以及IDS / IPS應用程序（59％）。其中，單點登錄（SSO）是身份和訪問管理（IAM）解決方案的一個重要組成部分，79%的受訪組織使用了SSO對其ERP解決方案進行身份驗證。

但是，想要真正做到安全的雲遷移就必須從整體上解決安全問題，將其他方面納入ERP安全策略中，如ERP定制、ERP配置、ERP監控、ERP集成、ERP漏洞和其他ERP風險等。

此外，該研究還顯示，對於接受調查的所有公司而言，「合規性問題」是其共同面臨的第三大挑戰，占比高達54.29%。排名首位和次位的挑戰分別為「遷移敏感數據的實際問題」（64.76%），以及「一般安全問題」（59.05%）。

排名稍後的挑戰還包括「業務經營中斷」（46.67%）以及「遷移所需時長」（45.71%）。前者的排名可能有些出人意料，因為一般情況下，組織——特別是高級管理層——通常會將業務經營問題優先於安全問題。而「業務經營中斷」之所以排名稍後，是因為與其他問題相比，這個問題發生的可能性不大。

除「業務經營中斷」挑戰外，對「遷移所需時間」的關注度也相對較低，這表明組織清楚地知道雲遷移是一個漫長的過程，並且不介意花時間來做正確的實踐。這可能是一件好事，因為只有26%的受訪者在預期的時間範圍內做到了數據遷移。

如今，雲訪問安全代理（CASB）解決方案已經不再是一項新技術，但其仍然是一種與ERP一起在雲中使用的新興技術。這種技術最常用於美洲（42%），但在亞太地區（19%）和EMEA地區（僅11%）則不太受歡迎。不過，預計這些比例將做到增長。根據Gartner預測，到2022年，60%的大型企業將使用CASB解決方案來管理某些雲服務，而目前這一比例還不到20%。

安全專家表示，無論服務提供商如何，在任何雲遷移過程中，都必須從一開始就植入安全性，並在整個項目中分階段實施。組織關注的是跨環境移動敏感數據，然後再解決遷移帶來的安全性和合規性問題。但我們的研究結果顯示，「在遷移的每個階段實施安全性，可以為客戶節省超過5倍的實施成本」。

大多數受訪者預計，隨著ERP向雲端遷移，雲中的ERP安全事件會增加。其中，超過1/3的受訪者預計會有「輕微的風險增加」，另有20%的受訪者預計「風險會顯著增加」。但是，這些數字還遠不如「對安全事件的責任混淆」那般令人驚訝：77%的受訪者認為「他們自身需要對ERP應用程序的安全性負責」，而48%的受訪者則表示「雲服務提供商應該為此負責」。

雲提供商（AWS和Azure是數據遷移所使用的兩個主要提供商）經營「共享責任」模型，在這種模型中，ERP雲安全不僅僅與提供商有關，也與客戶自身有關，其中提供商負責基礎架構，而客戶則負責數據。

例如，Oracle和SAP都提供具有良好安全標準的產品，但組織仍需要圍繞安全性和可見性實施額外控制，就像它們在本地運行這些應用程序一樣。此外，大多數ERP應用程序都是定制的，因此客戶在擴展提供商的功能時可能會引入大量潛在的安全漏洞，對於這種情況也需要進行適當的控制。可行的一些控制措施包括ERP漏洞評估、ERP監控、接口數據安全和安全配置等等。

ERP應用程序非常複雜，因此保護ERP應用程序也涉及一定程度的複雜性，需要客戶和提供商共同協作。提供商應該實施安全控制，但是有一些安全控制也需要由客戶自身進行實施，並給予充分的理解和重視。

最後，雲安全聯盟強調，在將自身業務關鍵型應用程序遷移至雲端時，那些擁有業務關鍵型應用程序的組織需要著力解決上述「令人不安的誤解」，更好地做到數據安全遷移。